28.07.2021: BaFin gibt Anwendung der ESMA Leitlinien zur Auslagerung an Cloud-Anbieter bekannt.

Spielfiguren

Am 29. Juni 2021 gab die BaFin bekannt, dass sie die Leitlinien der Europäischen Wertpapier- und Marktaufsichtsbehörde (European Securities and Market Authority, ESMA) zur Auslagerung an Cloud-Anbieter vom 10. Mai 2021 anwenden wird. Konsultiert wurden die Leitlinien bereits im Juni 2020 und gelten ab dem 31. Juli 2021 für alle Auslagerungsvereinbarungen mit Cloud-Anbietern. Dies gilt auch für bereits bestehende Auslagerungsvereinbarungen der Institute, die nun geprüft und ggf. geändert werden müssen. Die Institute müssen nun sicherstellen, dass alte ebenso wie neue Vereinbarungen ab dem 31.12.2022 den Leitlinien der ESMA entsprechen. Des Weiteren erklärt die BaFin, dass die Anforderungen bzw. die Definition für „Auslagerungsvereinbarung mit Cloud-Anbietern“ auch bei einer Auslagerung an Dritte bzw. für Firmen gelten, die selbst zwar kein Cloud-Anbieter sind, die aber im erheblichen Maß auf Cloud-Anbieter zurückgreifen.

Mit den Leitlinien gibt die ESMA insbesondere bei der Ermittlung, dem Management und der Überwachung von Risiken bei der Auslagerung an Cloud-Anbieter eine Orientierungshilfe. Gleichzeitig dienen die Leitlinien dem Ziel, dass die zuständigen Behörden bei ihrer Aufsicht über Auslagerungen an Cloud-Anbieter einheitlich vorgehen. Die Leitlinien sollen somit auch die bestehenden Leitlinien der Europäischen Bankenaufsichtsbehörde EBA zu Auslagerungsvereinbarungen und der Europäischen Versicherungsaufsichtsbehörde EIOPA ergänzen.

Insgesamt beinhaltet das Dokument 9 Leitlinien, die es zu berücksichtigen gilt:

  1. Governance, Kontrolle und Dokumentation: Es muss beispielsweise eine klare und aktuelle Strategie für Auslagerung an Cloud-Anbieter vorhanden sein, die mit den internen Grundsätzen und Strategien konform ist und u.a die Bereiche Informations- und Kommunikationstechnologie, Informationssicherheit und operatives Risikomanagement abdeckt.
  2. Risikoanalyse der Auslagerung und Due-Diligence-Prüfung in Bezug auf potenzielle Cloud-Anbieter: Hier müssen beispielsweise sowohl die Risikoanalyse als auch die Due-Diligence-Prüfung der Cloud-Anbieter in Art, Umfang und Komplexität im angemessenen Verhältnis und zum miteinhergehenden Risiko des auslagernden Institutes stehen.
  3. Zentrale Bestandteile des Vertrags, d. h. Mindestinhalte in IT-Outsourcing-Verträgen: U.a. müssen hier in einer schriftlichen Auslagerungsvereinbarung die jeweiligen Rechte und Pflichten beider Parteien festgehalten werden, welche auch explizit vorsieht, dass das/die auslagernde Institut/Firma die Vereinbarung unter bestimmten Voraussetzungen bzw. Notwendigkeiten beenden kann.
  4. Informationssicherheit: Hier müssen beispielsweise die Anforderungen an die Informationssicherheit in den internen Richtlinien und Verfahren sowie in der schriftlichen Auslagerungsvereinbarung mit dem Cloud-Anbieter festgehalten werden. So sollte u.a. eine klare Aufteilung der Aufgaben und Zuständigkeiten zwischen auslagerndem Institut und Cloud-Anbieter bezüglich der Informationssicherheit und eine wirksame Identitäts- und Zugriffsverwaltung sichergestellt werden.
  5. Ausstiegsstrategien: Wichtig hierbei ist, wenn ein Institut eine kritische oder wesentliche Funktion auslagert, dass in der Auslagerungsvereinbarung mit dem Cloud-Anbieter umfassende und dokumentierte Ausstiegpläne festgehalten werden. Dadurch soll sichergestellt werden, dass das Institut die Vereinbarung beenden kann, ohne die geschäftlichen Aktivitäten und Dienstleistungen für Kunden in unverhältnismäßiger weise zu unterbrechen oder die Einhaltung der rechtlichen Anforderungen oder die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten zu beeinträchtigen.
  6. Zugangs- und Prüfungsrechte: In der Auslagerungsvereinbarung sollte eine wirksame Ausübung der Zugangs- und Prüfungsrechte und Aufsichtsmöglichkeiten über den Cloud-Anbieter durch das auslagernde Institut ebenso wie die zuständige Behörde abgesichert sein.
  7. Sub-Auslagerungen: Bei einer Sub-Auslagerung von kritischen oder wesentlichen Funktionen gibt es ebenfalls einige Aspekte, die laut ESMA zu berücksichtigen sind bzw. die erfüllt werden müssen. So müssen beispielsweise Angaben zu Funktionen gemacht werden, die von einer Sub-Auslagerung ausgeschlossen sind und welche Bedingungen bei einer Sub-Auslagerung erfüllt werden müssen. Ebenso soll der Cloud-Anbieter verantwortlich bleiben und ist verpflichtet, die an den Subunternehmer ausgelagerten Dienste zu überwachen.
  8. Rechtzeitige schriftliche Mitteilung über die beabsichtigte Auslagerung an die zuständige nationale Aufsichtsbehörde: Bei einer beabsichtigten Auslagerungsvereinbarungen von kritischen oder wesentlichen Funktionen mit einem Cloud-Anbieter, muss die zuständige Behörde rechtzeitig in Schriftform informiert werden.
  9. Vorgaben an nationale Aufsichtsbehörden in Bezug auf die Überwachung von Auslagerungsvereinbarungen mit Cloud-Anbietern: Die zuständige Behörde muss die Risiken, die sich aus einer Auslagerungsvereinbarung ergeben, bewerten und sicherstellen, dass sie ihre Aufsichtspflicht wirksam ausüben kann.

Nicht nur die Institute, sondern auch die Cloud-Anbieter müssen sich mit den neuen Anforderungen auseinandersetzen, da diese bei Vertragsverhandlungen berücksichtigt werden müssen und Auftraggeber entsprechende Forderungen stellen werden. Mit der Umsetzungsfirst bis 31. Dezember 2021 bleibt den Instituten und Cloud-Anbietern für die Umsetzung nicht viel Zeit.

Quelle: ESMA, BaFin

Weiterführende Informationen

PfeilLeitlinien ESMA


 

Ansprechpartner

Jan Skudlarek

Jan Skudlarek
Consultant

Kontakt


 

Zurück